Shopping cart

Subtotal $0.00

View cartCheckout

Building better devs

TnewsTnews
  • Home
  • IA
  • Shadow AI: a Deloitte Pagou US$ 440 Mil pra Aprender a Lição. E Você?
IA

Shadow AI: a Deloitte Pagou US$ 440 Mil pra Aprender a Lição. E Você?

BY - Lucas Dalcolmo abril 29, 2026 Comments (0) 7 Mins Read
Email : 9

Em julho de 2025, a Deloitte — uma das Big Four, que cobra US$ 290 mil por um relatório de consultoria de 237 páginas — entregou ao Departamento de Emprego e Relações de Trabalho da Austrália um documento auditando o sistema automatizado de penalidades do programa de assistência social do país.

O relatório tinha um pequeno problema: parte das citações acadêmicas era inventada.

Não “ligeiramente impreciso”. Inventada.

  • Um livro atribuído à Profa. Lisa Burton Crawford, da Universidade de Sydney, que nunca existiu.
  • Duas obras atribuídas a Björn Regnell, da Universidade de Lund, que ele nunca escreveu.
  • Uma decisão judicial citada com o nome do juiz escrito errado — porque a decisão também não existia.

Quem identificou foi o pesquisador Christopher Rudge, da própria Universidade de Sydney. Em entrevista à imprensa, ele resumiu o sentimento de qualquer um que já teve contato real com IA generativa:

“Eu soube na hora que era alucinação. Eu nunca tinha ouvido falar do livro e parecia absurdo.”

A Deloitte foi obrigada a refazer o relatório. Devolveu US$ 440 mil. E aqui vem a parte que parece piada: na versão revisada, a consultoria, em vez de corrigir as fontes inventadas, inventou fontes novas pra substituir as antigas. Confirmou que tinha usado Azure OpenAI num “apêndice técnico” — sem deixar claro se foi a IA que causou os erros originais.

Quatro meses depois, em novembro de 2025, a história se repetiu — agora no Canadá. Um relatório de US$ 1,6 milhão entregue ao Departamento de Saúde da província de Newfoundland e Labrador foi flagrado pelo veículo theIndependent com o mesmo padrão: artigos científicos inexistentes, citações atribuídas a pesquisadores que negaram qualquer envolvimento, referência a publicação inexistente no Canadian Journal of Respiratory Therapy. Defesa da Deloitte: “a IA não foi usada para escrever o relatório; foi utilizada pontualmente para apoiar um número limitado de referências de pesquisa”.

Tradução: usaram IA exatamente onde não deveriam ter usado — pra checar e citar fontes acadêmicas, justamente o tipo de tarefa em que LLM alucina por design.

Se a Deloitte caiu, sua empresa também vai cair

Aqui não dá pra fingir surpresa. A Deloitte tem mais de 460 mil funcionários no mundo, processo interno de revisão, advogados, compliance, governança, framework próprio de IA, parceria com Microsoft. Tem tudo. E ainda assim entregou ao governo de dois países contratos com fontes acadêmicas inventadas pela máquina.

Agora pensa na empresa média brasileira. No analista de marketing que cola um documento confidencial no ChatGPT pra “deixar mais formal”. Na pessoa de RH que sobe currículos no Gemini pra “filtrar candidatos”. No financeiro que pede pro Claude “fazer um modelinho rápido de DRE” com os números reais da empresa. No pessoal de produto que descobriu o Lovable, o v0, o Bolt, o Cursor — e está construindo aplicação que vai pra produção com chave de API exposta no código, banco de dados sem RLS, autenticação que qualquer um burla com curl.

Tem um nome pra isso: Shadow AI. É o uso não-supervisionado de ferramentas de IA dentro da empresa, à revelia de qualquer governança, security review ou padrão técnico. O equivalente do shadow IT dos anos 2010, só que mil vezes mais rápido pra causar dano — porque o atalho aparente é grande, a barreira pra começar é zero, e o estrago só aparece quando alguém de fora descobre.

E descobre. Sempre descobre.

“Mas eu vi um vídeo no YouTube ensinando a fazer com prompt”

Esse é o ponto que precisa ficar muito claro. Operar IA não é a mesma coisa que construir com IA.

  • Operar uma ferramenta de IA — usar um agente já construído por alguém que sabe o que está fazendo, com guardrails, validações, logging, rate limit, modelo certo pra tarefa certa — isso pode (e deve) ser para todo mundo na empresa. Vendedor usando agente de prospecção, atendimento usando agente de triagem, financeiro usando agente de conciliação. Tudo bem. Tudo ótimo. Operar IA é ganho de produtividade real.
  • Construir com IA — desenhar o sistema, escolher o modelo, definir prompts de sistema, configurar tools, decidir o que vai pra cache, o que vai pra log, o que não pode ir pra log, validar saídas, testar regressão, pensar em prompt injection, segregar contexto, controlar custo — isso não é para todo mundo da empresa. Não importa quão “intuitivo” o Lovable parece. Não importa quantos vídeos de “criei um SaaS em 30 minutos com IA” você assistiu.

A diferença entre os dois — operar e construir — é a mesma diferença entre dirigir um carro e ser engenheiro automotivo. Quase todo mundo dirige. Pouquíssimos sabem projetar suspensão. E ninguém em sã consciência confunde os dois papéis.

“E o pessoal que tá lançando MVP no Lovable?”

Lança. Sério. Lance.

Lovable, v0, Bolt, Replit Agent — todos têm uso legítimo: validar uma ideia, mostrar pra um sócio, fazer demo pra cliente, testar fluxo de UX antes de gastar dinheiro com dev. Como ferramenta de prototipagem rápida, são excelentes.

O problema é confundir MVP com produto em produção. Quando você:

  • Coloca usuário real cadastrando dados reais.
  • Conecta com Stripe pra cobrar de verdade.
  • Liga com banco de dados que tem CPF, e-mail, dado financeiro.
  • Sobe pra um domínio público sem WAF, sem rate limit, sem auditoria, sem backup.

…aí você não tem mais um MVP. Você tem um problema jurídico aguardando ser descoberto. Em geral via LGPD, via vazamento que vai parar no Have I Been Pwned, ou via cliente cancelando contrato porque um competidor mostrou o /api/users exposto.

Conheço, pessoalmente, mais de uma pessoa que tomou prejuízo financeiro e reputacional dessa exata maneira nos últimos 12 meses. Nenhum deles era estúpido. Todos eram gestores ou empreendedores capazes, que assistiram ao discurso de que “agora qualquer um constrói software” e acreditaram que isso significava “agora qualquer um constrói software pronto pra produção”.

Não significa.

A regra prática

Se você é gestor, fundador, líder de área lendo isso, leve duas coisas:

1. Para validar ideia / MVP / demo / hipótese: use IA generativa, use Lovable, use o-que-for. Mais rápido você descobrir que sua ideia não funciona, melhor. Só não bote dado real, não conecte com sistema crítico, não publique pra cliente final sem revisão.

2. Para lançar produto, processar dado de cliente, automatizar decisão que afeta operação: contrate especialista. Caro? É. Mais caro do que devolver US$ 440 mil pro governo, do que ser citado no jornal por vazar base de dados, ou do que perder o contrato porque o pdf que você entregou citava um livro que não existe? Não é.

A Deloitte aprendeu por US$ 440 mil. E vai aprender de novo, porque mesmo internamente ainda há quem ache que LLM substitui revisão humana num documento que vai pro governo.

Sua empresa vai aprender por quanto?

Fontes:

Tags sugeridas para WP: shadow ai, governança de ia, deloitte, alucinação, lovable, mvp, lgpd, segurança da informação, ia generativa, riscos de ia

Categoria: Tecnologia / Gestão / Inteligência Artificial

Related Tags:
alucinacao de iadeloittegovernanca de iaIA generativalgpdLovablemvpriscos de iashadow ai
img

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Posts

IA

GPT-Image 2: O Modelo da OpenAI

BY - Lucas Dalcolmo abril 21, 2026
IA

Seu Código no Lovable Está Exposto

BY - Lucas Dalcolmo abril 21, 2026
IA

Sora Fechou: $15 Milhões por Dia

BY - Lucas Dalcolmo março 25, 2026
Artigos

Inteligência Artificial Generativa e Agentes Autônomos:

BY - Lucasdalcolmo junho 4, 2025
Tecnologia e programaçãoArtigos

A revolução sem volta das IAs

BY - Lucasdalcolmo julho 18, 2023